Button Up
RU EN

Как я стал взломщиком паролей. Часть 7. Наставить на себя пушку

10.12.2013

Как я стал взломщиком паролейТревожный опыт легкого взлома множества паролей привел меня к последнему вопросу: насколько безопасны были мои собственные пароли? Открыв терминал в OS X, я создал MD5хеш пароля учетной записи своего компьютера, который я не менял в течение многих лет:

echo -n «password_here» | md5

В результате я вставил хэш в текстовый файл и пропустил его через Hashcat с использованием списка слов RockYou и best64.rule по очереди. Хэш был сломан менее чем за секунду.

Мне удалось узнать, что фактически мой пароль был в списке слов RockYou. Однако, новость была не такой уж и плохой. С одной стороны, мой хэш не был публичным, и мой компьютер никто не взламывал.

Это казалось невозможным, потому что OS X Lion, на которой я до сих пор работаю, хранит хэши паролей в защищенном каталоге, доступном только под «root», а учетная запись суперпользователя по умолчанию отключена (попытки получить доступ к каталогам с «sudo» или «su» терпят неудачу, если «root» постоянно не активируется пользователем).

Кроме того, OS X использует SHA512 и добавляет в хэши паролей «соль» для профилактики простых атак.

Тем не менее, «Все хэши были восстановлены» – не самая лучшая надпись, которую хочется видеть после запуска программы Password Cracker, которая взломала мой собственный пароль. Несмотря на то, что пароли можно сделать более сложными, не удлиняя их (использование букв разного регистра и т.п.), добавление случайных символов — это самый простой способ защиты.

Я добавил несколько новых букв в свой пароль, чтобы убедиться, что его нет в списке слов RockYou. Затем запустил RockYou + best64.rule, чтобы проверить, будет ли мой пароль обезопасен от наиболее распространенных перестановок.

Затем я проверил свои пароли к онлайн-банкам, используя ту же систему; взломать ничего не вышло. Я по-прежнему не питаю иллюзий, что атака с помощью списков слов RockYou /best64.rule не смогла взломать пароль, и это означает, что я в безопасности; но любой пароль, который защищает финансовую информацию или другие конфиденциальные данные должен по крайней мере пройти такой тест.

После моего однодневного эксперимента я по-прежнему оставался выбитым из колеи. Взлом паролей слишком легок, инструменты слишком хитроумные, процессоры слишком мощные. Это все дало мне понять, что мои собственные попытки улучшить пароль не являются долгосрочным решением. Раньше я воздерживался от менеджеров паролей в связи со страхом хранить данные «в облаке», или необходимостью в частой синхронизации с другими компьютерами, или доступом к паролям с мобильного устройства. Ведь взлом – это то, что происходит с другими людьми, не так ли?

Но пока иные формы аутентификации не станут более популярными, скромный пароль продолжает формировать первичную защиту личной информации. Для меня пришло время подумать, как найти лучшее решение для создания, хранения и управления паролями.

Взлом паролей оказался удивительно захватывающим действом - это невероятная математическая головоломка, решаемая только одним конкретным волшебным ключом, который вы должны отыскать среди миллиардов горсток подобных ключей. Найти кратчайший путь, чтобы отсортировать эту горсть, – своеобразная игра, и чтобы научиться этому, надо всего несколько часов.

Но освоить все ее правила – это настоящий вызов. И не надо быть компьютерным пиратом с черным сердцем, чтобы влюбиться в хакерство. Разве истинный ценитель головоломок довольствуется взломом только лишь половины хэшей?

 

Оглавление

Часть 1. Начало

Часть 2. Восстановление паролей

Часть 3. Первое попадание

Часть 4. Да будет взлом!

Часть 5. Путь позора

Часть 6. Ускорение и замедление

Часть 7. Наставить на себя пушку

 

Перевод статьи: http://arstechnica.com/security/2013/03/how-i-became-a-password-cracker/

О компании StarForce

Компания «Протекшен Технолоджи» (торговая марка StarForce) – ведущий российский разработчик программных решений в области контроля и защиты программ и электронной информации от утечек, копирования и нелегального распространения. С 2000 года компания разрабатывает и внедряет ультрасовременные технологические решения, защищенные соответствующими патентами РФ, США и Канады, что позволяет обеспечить охрану интеллектуальной собственности и авторских прав во всем мире.

Являясь экспертом в области защиты цифровой информации и программного обеспечения от утечек, копирования, взлома и несанкционированного распространения, компания разработала собственную систему Управления Цифровыми Правами (StarForce DRM), открывающую перед нашими клиентами широчайшие возможности по доставке цифрового контента и слежению за продажами. Технологии StarForce внедрены в таких компаниях как РЖД, Corel, 1С, Mail.ru, Аэрофлот, SUN InBev Russia, АМД Лаборатории, ATC International, МедиаХауз, Руссобит-М, Новый Диск, Бука, Snowball, 2Play, GFI, CENEGA, Akella и в ряде других.

Контакты для прессы:
pr@star-force.com

Возврат к списку